Datenschutz und Schweigepflicht
Ab dem 25. Mai 2018 ist die Datenschutzgrundverordnung als neues und gegenüber nationalem Recht vorrangiges Datenschutzrecht unmittelbar anzuwenden.
Allgemeines / Übersicht
- FAQ Datenschutz in der Arztpraxis (Landesbeauftragter für Datenschutz und Informationsfreiheit BW)
- Datenschutz-Check 2018 für Arztpraxen Bundesärztekammer/KBV
- Empfehlungen zur ärztlichen Schweigepflicht der Bundesärztekammer/KBV
- KBV - Praxisinformationen
- KBV - Was Praxen ab dem 25. Mai 2018 beachten müssen
- Technische Anlage zu den Hinweisen und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis
Datenschutzbeauftragter
Ein Datenschutzbeauftragter ist in jedem Fall zu benennen, wenn mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Bei weniger als zehn Mitarbeitern empfiehlt die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder seit 26.04.2018 Folgendes.
Mitteilung an Landesdatenschutzbeauftragten über Bestellung eines betrieblichen Datenschutzbeauftragten
Bei Ärzten ist in der Regel nicht von einer umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten auszugehen. Wenn weniger als zehn Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind, ist in der Regel kein Datenschutzbeauftragter zu benennen.
Aber:
Bei Ärzten, die zu mehreren in einer Berufsausübungsgemeinschaft oder einer Praxisgemeinschaft zusammengeschlossen sind, bei denen ein hohes Risiko für die Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten zu erwarten ist, ist eine Datenschutzfolgeabschätzung vorgeschrieben und damit zwingend ein Datenschutzbeauftragter zu benennen.
Zum Datenschutzbeauftragten kann ein Mitarbeiter benannt werden oder eine externe Person / Einrichtung.
Mustertext Benennung zum Datenschutzbeauftragten
Mustertext Erfassung Praxismitarbeiter, die mit der elektronischen Verarbeitung personenbezogener Daten beauftragt sind
Patienteninformation
Bei der Datenerhebung müssen von jedem Verantwortlichen den betroffenen Personen bestimmte Informationen über die Verarbeitung ihrer Daten gegeben werden. Es genügt auch ein Hinweis, wo diese Informationen zugänglich sind (Flyer/Aushang/Homepage). Die betroffenen Personen haben das Recht, Auskunft über die Verarbeitung zu erhalten. Empfehlenswert ist ein Infoblatt auszuhängen oder auszulegen.
Muster für Praxen, Patienteninformation zum Datenschutz
Verzeichnis der Verarbeitungstätigkeit
Weil Arztpraxen mit gesundheitsbezogenen Daten umgehen müssen, sind sie verpflichtet, ein Verzeichnis ihrer Verarbeitungstätigkeiten zu führen. Auf Verlangen ist das Verzeichnis von Verarbeitungstätigkeiten der Aufsichtsbehörde vorzulegen. Liegt kein Verzeichnis vor, drohen Bußgelder.
Muster für Praxen, Verzeichnis von Verarbeitungstätigkeiten
Ausfüllbeispiel, Verzeichnis von Verarbeitungstätigkeiten
Auftragsdatenverarbeitung
Wenn ein externer Dienstleister auf Patienten- oder Mitarbeiterdaten zugreifen kann, muss ein Vertrag zur Auftragsdatenverarbeitung geschlossen werden
Mustervertrag zur Auftragsverarbeitung
Mustervertrag zur Prüfung und Wartung informationstechnischer Systeme
Formulierungshilfe für einen Auftragsverarbeitungsvertrag nach Art. 28 Abs.3 DS-GVO
Informationspflichten Website
Beim Betreiben einer Website werden Daten vom Besucher erhoben und ggf. gespeichert (z.B. IP-Adresse, Ort, Datum). Die Besucher einer Praxiswebsite müssen darüber informiert werden, welche personenbezogenen Daten erhoben und gespeichert werden. Auch ist der Besucher über seine Rechte hinsichtlich der gespeicherten Daten aufzuklären.
Informationspflichten auf der Webseite der Praxis
Belehrung Mitarbeiter
Ein Praxisinhaber ist in seiner Praxis für die Erhebung und Verarbeitung der personenbezogenen Daten verantwortlich (§§ 29, 32 Abs. 4 DSGVO). Wenn Mitarbeiter mit der Erhebung und Verarbeitung personenbezogener Daten betraut werden, müssen diese über den Umgang und die einzelnen einzuhaltenden Regelungen belehrt werden. Die Belehrung muss erfolgen, bevor der Mitarbeiter erstmals Kontakt mit bzw. Zugriff auf die in der Praxis erhobenen und gespeicherten personenbezogenen Daten erhält. Belehrt werden muss grundsätzlich jeder Mitarbeiter, der Zugang zu den personenbezogenen Daten erhält oder erhalten kann. Aufgrund der neuen Datenschutzgrundverordnung müssen auch bisherige Beschäftigte erneut belehrt werden.
Merkblatt "Belehrung der Mitarbeiter über die Verschwiegenheit und Datenschutz"
Belehrung der Mitarbeiter über Verschwiegenheit und Datenschutz
Meldepflicht bei Datenschutzverstößen
Bei Datenschutzpannen, die mit einem Risiko für betroffene Patienten einhergehen (z.B. Diebstahl von Computern oder Datensicherungen, Hackerangriffe auf den Praxiscomputer) muss eine Meldung an die zuständige Landesdatenschutzbehörde erfolgen. In Baden-Württemberg ist dies
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
https://www.baden-wuerttemberg.datenschutz.de/
Die Mitteilung einer Datenschutzpanne muss in der Regel innerhalb von 72 Stunden, gerechnet ab dem Zeitpunkt, in dem die Praxis Kenntnis von der Panne erlangt hat, gemeldet werden. Wenn durch die Datenschutzpanne ein Verstoß gegen die ärztliche Schweigepflicht begangen worden sein könnte, entbindet das nicht von der Meldepflicht. Allerdings darf diese Meldung in einem Strafverfahren nicht gegen Ärzte der Praxis verwendet werden. Auch Fragen, die über die Meldung hinausgehen, müssen durch die Ärzte bei Gefahr einer Selbstbelastung nicht beantwortet werden.
Mustertext Meldung einer Datenschutzpanne an die Datenschutzbehörde
Mustertext Benachrichtigung von Patienten über die Verletzung des Schutzes personenbezogener Daten
Onlineformular des LfDI zur Meldung von Datenpannen
Technisch-organisatorische Maßnahmen
Technisch-organisatorische Maßnahmen zum Datenschutz